Aller au contenu

Proxy inversé avec contrôle d'accès


Messages recommandés

@cyberfrk

Bonjour,

Si cela marche hors VPN avec le Wifi chez ton copain, c'est que tu passes par son réseau local. Mais quand tu utilises le VPN, arrêtez-moi si je dis une c...ie, tu passes alors par le sous-réseau 10.8.0.0 en OPenVPN.

Ce sous-réseau est-il autorisé chez ton copain sinon ceci pourrait expliquer cela, non ?

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Bon au moins ton reverse proxy fonctionne bien 😉

Maintenant pour le contrôle d'accès je sèche.  Si tu as bien mis 10.0.0.0/8 dans les autorisations je ne vois pas.

il y a 32 minutes, oracle7 a dit :

Ce sous-réseau est-il autorisé chez ton copain sinon ceci pourrait expliquer cela, non

Ce serait le routeur de son pote qui bloque ? 

Lien vers le commentaire
Partager sur d’autres sites

@Jeff777

Bonjour,

Il y a 2 heures, CyberFr a dit :

Je me rends chez un copain et chemin faisant j'accède au reverse proxy en 4G depuis mon smartphone sans problème. Une fois connecté chez lui sur son WI-FI, ça ne passe plus.

Quand je lis cela, j'en arrive à cette conclusion logique, pas toi ?

Cordialement

oracle7😉

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

Il y a 12 heures, oracle7 a dit :

Si cela marche hors VPN avec le Wifi chez ton copain, c'est que tu passes par son réseau local. Mais quand tu utilises le VPN, arrêtez-moi si je dis une c...ie, tu passes alors par le sous-réseau 10.8.0.0 en OPenVPN.

Ce sous-réseau est-il autorisé chez ton copain sinon ceci pourrait expliquer cela, non ?

Ce copain est nul en informatique, il n'a pas pu modifier des réglages sur sa box. D'autre part j'ai utilisé mon smartphone pour les manips chez lui.

Il y a 12 heures, Jeff777 a dit :

Si tu as bien mis 10.0.0.0/8 dans les autorisations je ne vois pas.

Profil.jpeg

Modifié par CyberFr
Lien vers le commentaire
Partager sur d’autres sites

Je me plonge sur. la configuration d'OpenVPN.

dev tun
tls-client

remote IP_PUBLIQUE_DE_LA_BOX 1194

#float

redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

pull

proto udp

script-security 2

comp-lzo

reneg-sec 0

cipher AES-256-CBC

auth SHA512

auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----

Dans la mesure où redirect-gateway est actif, je n'ai pas besoin de définir un serveur DNS comme par exemple

dhcp-option DNS 80.67.169.12

Modifié par CyberFr
PS : Je n'ai pas trouvé le moyen de modifier le titre de la discussion
Lien vers le commentaire
Partager sur d’autres sites

il y a 4 minutes, .Shad. a dit :

reverse DNS

Ah oui c'est vrai, je n'avais pas fait attention au titre. Mais dès le début la question porte sur le reverse proxy.

En tout cas as-tu une  idée de la raison pour laquelle une connexion VPN en wifi sur un proxy inverse avec contrôle d'accès local et vpn pourrait ne pas fonctionner sur un réseau extérieur alors qu'elle fonctionne sur le réseau local du nas ?

Lien vers le commentaire
Partager sur d’autres sites

Bonjour @.Shad.,

Pour compléter ce que dit @Jeff777 et faire une synthèse de la situation, j'ai créé un reverse proxy avec contrôle d'accès. Lorsque je supprime le contrôle d'accès le proxy peut être joint de partout en France.

Lorsque le contrôle d'accès est actif je peux me connecter au reverse proxy de chez moi (c'est la moindre des choses), en 4 G le réseau de la box étant inaccessible, mais pas chez un copain en WI-FI. Dans tout les cas de figure j'active d'abord OpenVPN.

Lien vers le commentaire
Partager sur d’autres sites

il y a 17 minutes, CyberFr a dit :

Ce n'est pas l'édition d'un message mais de tout un fil de discussions puisqu'il s'agit d'en changer le titre !

Si tu édites le premier message tu as accès au titre que tu peux modifier

.

il y a 17 minutes, CyberFr a dit :

Au fait ma config OpenVPN est OK ?

J'ai trois lignes de plus :

auth-nocache

après tls-client

pour éviter le mot de passe en clair dans les logs

et 

  dhcp-option DNS ippubliqueDNSprimaire

  dhcp-option DNS ippubliqueDNSsecondaire 

tu peux essayer de rajouter. J'avoue ne plus savoir à quoi ça sert.

Modifié par Jeff777
Ajout sur la config
Lien vers le commentaire
Partager sur d’autres sites

  • CyberFr a modifié le titre en Proxy inversé navec contrôle d'accès
il y a 22 minutes, Jeff777 a dit :

Si tu édites le premier message tu as accès au titre que tu peux modifier

C'est fait.

il y a 22 minutes, Jeff777 a dit :

J'ai trois lignes de plus :

J'en fais un copier/coller 🙂

Modifié par CyberFr
J'imagine que je dois remplacer ippubliqueDNSprimaire par une IP publique réelle, celle de FDN par exemple.
Lien vers le commentaire
Partager sur d’autres sites

@CyberFr

Bonjour,

Il y a 4 heures, CyberFr a dit :
remote IP_PUBLIQUE_DE_LA_BOX 1194

Cela marche mieux aussi si tu remplaces IP_PUBLIQUE_DE_LA_BOX par la bonne @IP externe ou ton nom de domaine ndd.tld.

Il y a 1 heure, Jeff777 a dit :

dhcp-option DNS ippubliqueDNSprimaire

Moi j'y ai mis l'@IP locale de mon serveur DNS sur le NAS soit : dhcp-option DNS 192.168.1.x

En plus de la ligne auth-nocache indiquée par judicieusement par @Jeff777 j'ai ajouté juste avant celle-ci : remote-cert-tls server. De mémoire, elle permet je crois, d'utiliser le certificat du serveur, donc du NAS.

Cordialement

oracle7😉

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

@CyberFr Désactive temporairement le contrôle d'accès pour l'accès à DSM via proxy inversé et VPN.
Tu te connectes à ton VPN et tu vas sur la page DSM via le proxy inversé.

une fois loggé, tu regardes dans le widget "journaux récents" l'IP qu'il détecte pour ta connexion à DSM.

Lien vers le commentaire
Partager sur d’autres sites

il y a 58 minutes, oracle7 a dit :

j'ai ajouté juste avant celle-ci : remote-cert-tls server. De mémoire, elle permet je crois, d'utiliser le certificat du serveur, donc du NAS

je ne connaissais pas. Je vais appliquer.

Edit Bonne idée de Shad tu vas voir l'IP qui est prise en compte.

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

  • CyberFr a modifié le titre en Proxy inversé avec contrôle d'accès
Il y a 1 heure, oracle7 a dit :
Il y a 6 heures, CyberFr a dit :
remote IP_PUBLIQUE_DE_LA_BOX 1194

Cela marche mieux aussi si tu remplaces IP_PUBLIQUE_DE_LA_BOX par la bonne @IP externe ou ton nom de domaine ndd.tld.

C'est ce que j'ai fait mais je ne voulais pas que l'IP apparaisse en public.

il y a une heure, .Shad. a dit :

une fois loggé, tu regardes dans le widget "journaux récents" l'IP qu'il détecte pour ta connexion à DSM.

Je vais le faire.

il y a une heure, .Shad. a dit :

une fois loggé, tu regardes dans le widget "journaux récents" l'IP qu'il détecte pour ta connexion à DSM.

User [lionel] from [192.168.1.254] logged in successfully via [DSM].

Modifié par CyberFr
Dans le journal de VPN Server sur le NAS il y a ceci : Connected from [192.168.1.254] as [10.8.0.6].
Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, oracle7 a dit :

En plus de la ligne auth-nocache indiquée par judicieusement par @Jeff777 j'ai ajouté juste avant celle-ci : remote-cert-tls server. De mémoire, elle permet je crois, d'utiliser le certificat du serveur, donc du NAS

Malgré la présence de cette ligne, OpenVPN affiche un message lors de la connexion

Citation

Missing external certificate

Please chose the external certificate for this profile or continue if your profile allows to connect without client certificate.

                                      SELECT CERTIFICATE                                CONTINUE

Lien vers le commentaire
Partager sur d’autres sites

@CyberFr

Bonjour,

Effectivement c'est étonnant qu'il demande cela, vu que le certificat est déjà inclus dans le fichier de config .ovpn.

Mais pour palier à ce message (astuce trouvée sur un forum je sais plus où), j'ai converti les fichiers .pem de mon certificat LE en un fichier .pfx (ou .p12) que j'ai importé sur ton Tél 4G Android et donc quand j'ai le message (la première fois) je sélectionne ce certificat et tout roule ensuite. Plus de message "Missing external certificate". Ensuite tu peux supprimer le certificat importé de ton Tél. Le client OpenVPN l'a pris en compte (je ne sais où).

Cordialement

oracle7😉

 

 

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.